Docker、ソフトウェアサプライチェーン管理支援サービス「Docker Scout」を正式リリース：コンテナイメージを分析、脆弱性を特定、修正方法を提案

Dockerは、安全なソフトウェアサプライチェーンの構築、維持を支援するサービス「Docker Scout」の一般提供を開始した。

[＠IT]

　Dockerは2023年10月4日（米国時間）、開発者やセキュリティチームの安全なソフトウェアサプライチェーン構築、維持を支援するサービス「Docker Scout」の一般提供を開始したと発表した。

　コンテナイメージは多くの場合、他のコンテナイメージやソフトウェアパッケージのレイヤーから構築されているが、これらには脆弱（ぜいじゃく）性が含まれている可能性がある。

　Docker Scoutはイメージを分析し、検出したパッケージやレイヤーの完全なインベントリとして、「SBOM」（Software Bill of Materials：ソフトウェア部品表）を作成する。

　その一方で、信頼できる多数のソース（広く使われているパッケージリポジトリやセキュリティデータベースなど）から、継続的に脆弱性データを取り込み、照合、整理して脆弱性データベースを作成、維持している。

　Docker Scoutは、作成したSBOMとこの脆弱性データベースを関連付け、イメージ内の脆弱性を特定し、コンテキストに応じて、その修正方法を提案する。